Ai总结： Polymarket因第三方供应商漏洞被植入恶意脚本，导致至少11个用户钱包资金被盗，总损失约294万美元。平台已控制事态并承诺全额赔偿。数据显示，6月加密资产入侵损失达7490万美元，私钥泄露成最大威胁。

Polymarket前端供应链遭攻陷，用户资金遭钓鱼式劫持

区块链分析机构Specter披露，攻击者通过渗透第三方服务提供商，将恶意代码注入Polymarket的前端界面，触发定向钓鱼流程，致使至少11名用户钱包资产被转移。基于对受影响交互行为的数据追踪，此次损失总额估算为294万美元。

供应链漏洞成为攻击入口，前端注入引发链上资金外流

该事件的核心在于外部依赖项被非法篡改，攻击者利用此路径在用户访问页面时执行隐蔽脚本。这些脚本诱导用户签署看似合规的操作授权，实则完成资金转移，构成典型前端钓鱼攻击模式。

平台紧急响应，全面清除风险组件并承诺全额补偿

Polymarket迅速确认漏洞来源，移除了受感染的依赖模块，并在社交平台公开声明将对所有受损用户进行全额赔付。此举旨在恢复用户信任并遏制潜在的二次攻击风险。

6月安全事件频发，总损失突破7490万美元

据DefiLlama统计，今年6月共报告29起重大安全事件，累计损失达7490万美元，较5月增长约24%。尽管尚未超越4月创下的6.44亿美元峰值，但第二季度整体已成历史上攻击频率最高的一季。

跨链桥梁与协议集成成主要风险点

当月最严重的三起事件分别为：Humanity Protocol被攻陷致损3600万美元；Secret Network跨链桥漏洞暴露，损失470万美元；以及两次独立的Aztec平台攻击，每起均造成210万美元损失。此外，Taiko平台也遭遇170万美元的桥梁攻击。上述案例凸显复杂系统中供应链脆弱性可能引发集中性损失。

私钥泄露主导损失，钓鱼类攻击持续构成威胁

DefiLlama对过去30天数据的分类显示，43%的损失源于私钥泄露，10%来自“虚假证明”攻击，8%归因于反向MEV蜜罐。尽管Polymarket事件被归为前端注入型钓鱼，其本质仍涉及用户操作层面的欺骗，反映出攻击者正融合供应链缺陷与社会工程手段提升成功率。

后续风险仍存，用户需警惕残留攻击路径

尽管平台已完成初步修复，但潜在隐患仍不可忽视。包括缓存页面中的残留脚本、第三方嵌入内容的异常调用，以及针对用户已有授权的二次诈骗行为，都可能成为后续攻击窗口。用户应密切关注平台动态，并持续评估第二季度以来激增的安全趋势是否将持续演进。